sgcSign motorunu bir REST API'nin, bir Bootstrap web yönetici konsolunun ve hazır CI/CD hatlarının arkasına saran, kendi sunucunuzda barındırılan uzaktan kod imzalama hizmeti.
Tek bir Windows ana bilgisayarı; derleme aracılarından, geliştiricilerden ve CI hatlarından imzalama isteklerini kabul eder — tam denetim, onaylar ve metrikler yerleşik olarak.
İmzalama, doğrulama, sağlık, metrikler ve onay iş akışları için TLS korumalı /api/v1 uç noktaları. Derleme aracıları ve SDK'ler için kararlı, makine dostu sözleşme.
Kullanıcılar, API anahtarları, sağlayıcılar, projeler, denetim, onaylar, webhook'lar ve metrikler için Bootstrap tabanlı /admin kullanıcı arayüzü. Operatörlerin JSON düzenlemesi asla gerekmez.
Inno Setup sihirbazı veya zip bırakma. Hizmet kendisini bir Windows hizmeti olarak kaydeder, TLS'yi kendisi sonlandırır ve sağlamlaştırılmış bir ana bilgisayarda gözetimsiz çalışır.
Her proje; sağlayıcıların, API anahtarlarının, denetim görünürlüğünün ve onay kuyruklarının bir alt kümesini yalıtır. Birden fazla ekip, birbirlerinin imzalama materyalini görmeden tek bir sunucuyu paylaşır.
Aynı API anahtarı istek yapar, bir yönetici veya proje yöneticisi onaylar veya reddeder ve ancak o zaman baytlar imzalanır. SHA-256 karması ve dosya boyutu isteğe kilitlenir.
Her eylem — imzalama, doğrulama, oturum açma, onay, webhook tetikleme — karma zincirli bir denetim günlüğüne eklenir. Kurcalama algılanabilir; SIEM toplama basittir.
İmzalama / doğrulama / onay sayaçları, imzalama gecikme histogramları, sağlayıcı kullanılabilirlik göstergeleri. Yönetilecek ek veritabanı olmadan doğrudan Prometheus 0.0.4 metin sunumu.
X-Sgcsign-Signature: sha256=… ile teslim edilen 13 yaşam döngüsü olayı. Üç denemeli yeniden deneme kuyruğu; SIEM, sohbet ve bilet sistemlerini senkronize tutar.
Kitaplıkla gelen aynı motor, REST API aracılığıyla sunulur. Her ülke profili, her imza düzeyi.
VeriFactu, FatturaPA, Facturae, KSeF, e-Factura, Peppol, myDATA ve AB iş sözleşmeleri için XML imzaları. POST /api/v1/sign/xades.
Orijinal içeriği koruyan artımlı güncellemelerle PAdES-Basic PDF imzaları. Görünür veya görünmez imzalar. POST /api/v1/sign/pades.
Rastgele ikili veriler için CMS / PKCS#7 ayrık veya ekli imzalar. Zaman damgası + uzun vadeli doğrulama. POST /api/v1/sign/cades.
İmzalama hizmeti, yapılandırdığınız herhangi bir sertifika kaynağıyla konuşur: Windows deposu, PFX, PKCS#11 donanım belirteci, Azure Trusted Signing, AWS KMS, Google KMS.
.exe, .dll, .msi, .cab, .cat, .ocx, .sys imzalayın. Yalnızca karma modu, düşük bant genişlikli çalıştırıcıların birkaç düzine baytı 8 KB'lık bir PKCS#7 blob'uyla değiştirmesine olanak tanır.
Windows istemcilerinin güven istemleri olmadan yüklemesi için ClickOnce manifestlerini (.application / .manifest) imzalayın. POST /api/v1/sign/clickonce.
NuGet istemcisinin yayıncı kimliğini doğrulaması için .nupkg paketlerini imzalayın. Yazar ve depo imzaları desteklenir. POST /api/v1/sign/nuget.
VS Marketplace'in ve IDE'nin kendisinin güvenilir olarak kabul etmesi için Visual Studio uzantı paketlerini imzalayın. POST /api/v1/sign/vsix.
Derleme aracıları, her çalıştırıcıya imzalama sertifikaları yüklemek yerine kararlı bir REST uç noktasını çağırır.
Bileşik eylem, yapıyı sunucunun REST API'sine gönderir. Web yöneticisi tarafından verilen, bir projeyle sınırlandırılmış belirteç, çalıştırıcı gizli dizi deposundan asla çıkmaz.
Hat görevi, ikili dosyayı yükleyen, gerekirse onay için yoklama yapan ve imzalı sonucu indiren sgcSign CLI istemcisini çalıştırır — tümü tek bir adımda.
curl veya pakete dahil CLI kullanan bildirimsel hat kod parçası. Hem Linux hem de Windows aracılarıyla çalışır; imza bir derleme yapısı olarak görünür.
Hizmet ve örnek bir sağlayıcı yapılandırması içeren görüntü. Konteyneri çalıştırın, TLS sertifikanızı + sağlayıcı gizli dizilerinizi bağlayın ve taşınabilir bir imzalama hizmetiniz olsun.
Tamamen yedekli, ölçeklendirilmiş imzalama için Kubernetes'te dağıtın. Anahtarsız pod'lar için bulut KMS (Azure Trusted Signing, AWS KMS, Google KMS) ile eşleştirin.
Tek bir Windows hizmeti TLS'yi sonlandırır, /api/v1 + /admin sunar ve her çağrıda yapılandırılan anahtar sağlayıcıya ulaşır. Anahtar materyali veritabanında asla bulunmaz.
/api/v1'e erişir.
/admin'e giriş yapar. Bootstrap kullanıcı arayüzü, oturum çerezleri, rol tabanlı erişim.
+----------------------------+
| Build agents / CI / CLI |
+-------------+--------------+
|
| HTTPS (TLS 1.2/1.3)
v
+-------------------------------------------+
| sgcSignServer.exe (Windows service) |
| /api/v1/* (signing, verify, health) |
| /admin/* (web console, sessions) |
+---+-----------------+---------------------+
| | |
v v v
+-------------+ +---------------+ +-----------+
| SQLite DB | | KeyProviders | | Webhooks |
| (audit/keys)| | PFX/HSM/KMS | | (outbound)|
+-------------+ +---------------+ +-----------+curl UzaktaBir bearer API anahtarı, bir karma veya dosya yüklemesi ve imzalı ikili dosya stdout'a geri akar. Authenticode, CAdES, PAdES, XAdES, ClickOnce, NuGet, VSIX aynı yapıyı paylaşır.
X-API-Key veya Authorization: Bearer — her iki kimlik doğrulama yöntemi de çalışır.
X-Project kiracıyı seçer; anahtarın proje için yetkilendirilmiş olması gerekir.
X-Sgcsign-Signer-Subject + X-Sgcsign-Duration-Ms taşır.
# Authenticode-sign MyApp.exe via the REST API
curl -X POST https://sign.example.com/api/v1/sign \
-H "Authorization: Bearer $TOKEN" \
-H "X-Project: production" \
-F "format=authenticode" \
-F "file=@./MyApp.exe" \
-o MyApp-signed.exe
# Headers returned by the server
# X-Sgcsign-Signer-Subject: CN=ACME Corp, O=ACME, C=US
# X-Sgcsign-Duration-Ms: 312Yeni bir Windows ana bilgisayarından beş dakikadan kısa sürede ilk imzalı yapıya.
Pakete dahil Inno Setup sihirbazını çalıştırın veya zip dosyasını bir klasöre bırakın. Hizmet, kendisini sgcSignServer adlı bir Windows hizmeti olarak kaydeder. :8443'e bağlayın ve TLS sertifikanızı yükleyin.
sgcSignServer.conf.json'a bir sağlayıcı ekleyin — bir PFX dosyası, Azure Trusted Signing hesabı, AWS KMS anahtarı, Certum SimplySign kullanıcısı veya diğer on anahtar sağlayıcıdan herhangi biri. Hizmet yeniden başlatması gerekmez.
/admin/apikeys'i açın, New API key'e tıklayın, bir projeyle sınırlandırın, belirteci CI çalıştırıcı gizli dizinize kopyalayın. Derleme aracısı POST /api/v1/sign çağırır.